Zdalne przeszukanie komputerów (niemieckich) obywateli - cd. dyskusji

W Niemczech mamy ciąg dalszy debaty na temat możliwości prowadzenia zdalnego przeszukania komputerów. Dostałem właśnie informacje na temat procesu legislacyjnego związanego z tym zagadnieniem. O ile w zeszłym tygodniu Rada Federalna Niemiec (Bundesrat) odrzuciła możliwość wprowadzenia takiego prawa, to jednak - jak podają w niemieckiej telewizji - został osiągnięty kompromis.

Przypominam również o tekście Koń jaki jest, nie każdy widzi, czyli niemieckie prace nad projektem "Federal trojan" oraz Zdalna inwigilacja komputerów obywateli i rozstrzygnięcie niemieckiego Trybunału Konstytucyjnego. W lutym federalny Trybunał Konstytucyjny uznał przepisy umożliwiające zdalną inwigilację zawartości komputerów obywateli za niezgodne z tamtejszą konstytucją - Wyrok Federalnego Sądu Konstytucyjnego (Niemcy) z dnia 27 lutego 2008 roku (sygn. 1 BvR 370/07; 1 BvR 595/07) (jest też notatka prasowa na temat tego wyroku). W Niemczech dyskusja trwa i jest raczej ożywiona. Pomysł na zdalną inwigilację (co wiąże się pośrednio z tematem retencji danych telekomunikacyjnych) nie upadł. Alex Barszczewski napisał mi właśnie w mailu:

(...) po tym jak w zeszłym tygodniu Bundesrat odrzucił prawo do przeszukań online zgodzono się na kompromis, który prawdopodobnie (bo jedna z partii chce to zaskarżyć) wejdzie w życie. Przeszukanie online komputera będzie możliwe pod następującymi warunkami:

  1. przeszukanie MUSI być zaakceptowane przez niezależnego sędziego, też w przypadkach pilnych (czyli bez wyjątku);
  2. aby chronić sferę prywatną obywateli sędzia musi zadecydować o wykorzystaniu uzyskanych przy takim przeszukaniu danych;
  3. Bundeskriminalamt może wystąpić o zgodę na przeszukanie online tylko w wypadku podejrzenia o terroryzm.

Więcej na temat niemieckiego kompromisu: Kompromiss beim BKA-Gesetz.

Tymczasem o aktywności Europolu (co ma też dotyczyć Polski) pisze IDG w tekście Policja sprawdzi co masz w komputerze:

Już wkrótce policja współpracując z Europolem będzie miała możliwość zdalnego sprawdzania zawartości dysków twardych. Wiadomo, że na celowniku znajdą się "jedynie osoby podejrzane o popełnienie przestępstw komputerowych oraz związanych z pedofilią". Kontrowersyjne jest przede wszystkim to, że jeszcze nie wiadomo kto i w jaki sposób będzie określał podejrzanego i ostatecznie wydawał nakaz przeszukania. Nie wiadomo również co oznaczać będzie termin "przestępstwo komputerowe". Czy niewiadomego pochodzenia utwór mp3 znajdujący się na pulpicie będzie pierwszym krokiem do więzienia?

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

Niemcy Niemcami, ale chcą

Niemcy Niemcami, ale chcą takie coś wprowadzić w całej UE link 1
link 2

Jaka bedzie odpowiedzialnosc

Jaka bedzie odpowiedzialnosc uzytkownika w przypadku defakto utraty kontroli nad swoim komputerem po/w trakcie wlamania dokonanego przez organ scigania? Mozna sie bedzie bronic wskazujac podrzucenia danych?

To będzie jeszcze długo martwy przepis

O ile jestem w stanie wyobrazić sobie intranet, w którym paranoiczny administrator zmusi wszystkich użytkowników do posiadania identycznego oprogramowania oraz przetrzymywania tworzonych dokumentów wyłącznie na serwerze plików, to wydaje mi się niemożliwe zmuszenie do tego wszystkich użytkowników internetu.

Najprostszy przykład: programista, który wykonuje na swoim domowym komputerze fragment zamówionego pakietu. Ocena, czy pliki składowe są częścią (nieznanego przecież) tworzonego właśnie legalnego oprogramowania, czy też są podejrzanymi binariami, wymagać będzie opinii fachowca, o poziomie wykształcenia, co najmniej równemu kontrolowanemu osobnikowi. Skąd niby demon śledzący (choćby nawet był zaawansowaną sztuczną inteligencją) będzie wiedział do kogo należą kontrolowane zasoby? W dodatku zawartość wielu plików jest zwyczajnie szyfrowana, istnieją wirtualne dyski szyfrowe, dostęp oparty na danych biometrycznych itd. itp.

Ustawodawca, chcąc zapewnić przezroczystość komputerów, musiałby wymusić instalację tylko tego oprogramowania, które by posiadało odpowiednie "tylne wejścia". Jednocześnie musiałby odciąć wszystkich niepokornych twórców. To jakby koszmar z opracowania Petera Gutmana Analiza kosztów systemu ochrony treści Windows Vista. Lecz co zrobić z innymi systemami operacyjnymi? Zakazać? Wątpliwe, czy komukolwiek by się to udało.

Wreszcie nietrudno wyobrazić sobie sytuację, w której program śledzący trafia do "piaskownicy", a prawdziwa zawartość komputera jest dla niego niedostępna.

To będzie jeszcze długo martwy przepis, chyba że...

... zostanie nam zafundowane powszechne i obowiązkowe podłączenie do Internetu każdego komputera. Komórki, TV, pralki, lodówki i cyfrowej ramki na zdjęcia też, bo przecież ktoś tam może mieć 'trefne' zdjęcie.

a może metoda będzie inna?

Właśnie przyszła mi do głowy myśl, że 'przeszukanie online' niekoniecznie musi być związane z instalacją backdoorów wszędzie. A może, by móc zrealizować możliwość dokonywania 'przeszukania online' wprowadzona zostanie możliwość zatrudniania hakerów przez policję i to oni dokonywaliby włamania do systemu i 'przeszukania online'?
W tym momencie całość wydaje się mieć ręce i nogi.

wprowadzona zostanie

wprowadzona zostanie możliwość zatrudniania hakerów przez policję i to oni dokonywaliby włamania do systemu i 'przeszukania online'?
W tym momencie całość wydaje się mieć ręce i nogi.

W tym momencie całość straciła ręce i nogi :D Nie da się włamać do komputera "ot tak", w pełni zaktualizowany system z FW+AV będzie odporny na jakiekolwiek próby ataku. Zabronić aktualizacji? To się raczej nie uda. Jedyną opcją byłaby faktycznie instalacja jakiegoś backdoora. Jednak tu też pojawia się kilka problemów: mogę taki program zwyczajnie zablokować firewall'em i po sprawie, nikt mnie nie sprawdzi.

Kolejnym problemem byłoby zabezpieczenie tylnej furtki: skoro policja miałaby dostęp znalazłby się ktoś, kto również by go uzyskał (nie ważne czy poprzez analizę takiego trojana czy też uzyskanie informacji o nim od kogoś "z wewnątrz"). Wtedy efekt byłby odwrotny od zamierzonego, "ktoś" mógłby podrzucić na dowolny komputer sfałszowane dowody albo uzyskać dostęp do prywatnych danych.
Sam pomysł może i dobrze wygląda, gdyby jednak jakimś cudem to przeszło podejrzewam, że w praktyce zupełnie się nie sprawdzi.

Łatka Microsoftu

Wystarczy przecież, że Microsoft doda (udostępni?) taką funkcjonalność. Skoro miałoby to być zgodne z prawem (a może nawet wymagane przez prawo?).

Funkcjonalność może naprawdę mieć tylko opcję przeglądania, robienia listy plików, czy wyszukiwania takich o konkretnych sumach kontrolnych. Bez możliwości modyfikowania.

Nawet jeśli to: 1. Oznacza

Nawet jeśli to:
1. Oznacza to, że "prawo" zaczyna dotyczyć tylko użytkowników windows, lub jak kto woli, że użytkownicy innych systemów są z pod tego prawa wyłączeni.

2. Nadal pozostaje problem co jeśli do tej furtki dobiorą się osoby niepowołane? Łatwo sobie wyobrazić sytuację kiedy pojawia się instrukcja a'la "jak złamać WEP w 5 min" o tytule "Jak przeglądać przez internet dowolny system z niemieckim locale".

Generalnie zgadzam się z tezą, że takie prawo będzie niemożliwe do wyegzekwowania aka będzie to prawo "martwe".

niejasno się wyraziłem

Najwyraźniej niejasno się wyraziłem. Miałem na myśli to, że dzięki wprowadzeniu możliwości przeszukania online za pomocą działań dotychczas kojarzonych z hakerami zostanie w pełni zalegalizowana MOŻLIWOŚĆ włamywania się do systemów przez policyjnych hakerów.

Fakt faktem, że w pełni zabezpieczony system nie będzie podatny. Ale zarazem statystyki pokazują jak mały jest odsetek systemów z zainstalowanymi aktualizacjami. Niemniej jednak kluczowy jest wg mnie punkt o zalegalizowaniu policyjnej hakerki :)

pozdrawiam

Zdalne przeszukanie

Maciej_Szmit's picture

Tak sobie luźno myślę, że:

1. Można by teoretycznie wprowadzić tego rodzaju obowiązek dla komputerów firmowych (podobnie jak obecnie można nakazać adminowi firmowej sieci ujawnienie hasła i zarekwirować sprzęt), tylko że z technicznego punktu widzenia instalowanie sobie backdoora jest dość ryzykowne (delikatnie mówiąc). Kto zapłaci odszkodowanie jeśli jakiś nielojalny policjant poda "złym hakerom" hasło do backdoora?

2. Można sobie pomyśleć o czymś takim dla powiedzmy Windows (jeden producent etc.), ale kto niby i jak przygotuje takie rzeczy dla tuzina (lekko licząc) innych systemów, wersji i dystrybucji?

3. Jakim pasmem trzeba dysponować, żeby przejrzeć on-line dysk - powiedzmy - pół terabajta, ewentualnie jaką mocą obliczeniową, żeby policzyć dla znajdujących się na nim milionów plików sumy kontrolne (choć to nic nie da, bo jeśli mówimy np o łapaniu producenta pornografii to nie ma jeszcze wzorców dla zrobionych przez niego zdjęc czy filmów, podobnie jak nie jest znana suma kontrolna pliku zawierającego plan bomby, którą właśnie zaprojektował terrorysta)

4. Zakładamy, że cały pomysł skierowany jest przeciwko półgłówkom, którzy trzymają "trefne" materiały na komputerach podłączonych i włączonych cały dzień on-line, bo nie stać ich na laptopa za niecałe 1000 zł czy na desktopa za 500. No chyba, że będzie obowiązek przyłączania każdego komputera do internetu jak to już ktoś napisał.

5. Zakładamy że wszyscy producenci firewalli pootwierają odpowiedni dziury (a może wpisanie reguły filtrującej adres policji niemieckiej będzie karalne, podobnie skonfigurwoanie IPS-a żeby sygnalizował podejrzanie wysokie transfery wychodzące?)

6. Jakie procedury trzeba będzie opracować, żeby backdoora mogli nie mieć: sędziowie, prokuratorzy, szpiedzy, ministrowie, smutni panowie z tuzina służb specjalnych (w realiach polskich BOR, ABW, CBA, CBŚ etc.) "Panie jestem tajniakiem chciałbym kupić czyste windowsy"?

Rekapitulując: nie wydaje mi się, żeby ten pomysł (pomijając oczywiste wątpliwości natury moralnej) był sensowny

"podobnie jak obecnie można

podobnie jak obecnie można nakazać adminowi firmowej sieci ujawnienie hasła i zarekwirować sprzęt

Kto i w jakim trybie może coś takiego nakazać? Prosiłbym o rozwinięcie myśli.

Zależy na kogo się poluje.

Trudno aby jedno narzędzie było lekiem na wszystko. Jeśli jednak wziąć pod uwagę:
a) procent komputerów z Windows
b) to, że akurat "zdalne przeglądanie" może służyć do np. zgrubnego przesiewania
c) pod pretekstem walki z pedofilią będą "przy okazji" wyszukiwane treści łamiące prawa autorskie

to coś takiego może całkiem dobrze się w takich sytuacjach sprawdzać.

tylko że z technicznego punktu widzenia instalowanie sobie backdoora jest dość ryzykowne (delikatnie mówiąc). Kto zapłaci odszkodowanie jeśli jakiś nielojalny policjant poda "złym hakerom" hasło do backdoora?

Ja to widzę w ten sposób - istnieje już od dawna mechanizm "Windows Update", który doskonale sobie radzi i potrafi nawet całkowicie bez wiedzy i pozwolenia użytkownika robić sobie upgrade.

Nie słychać nic o tym, aby Microsoft płacił odszkodowania za to, że jakiś haker wykorzystał ten mechanizm (jak najbardziej backdoor, w końcu WU może z kolejnym upgradem wprowadzić kod robiący najróżniejsze rzeczy).

3. Jakim pasmem trzeba dysponować, żeby przejrzeć on-line dysk - powiedzmy - pół terabajta, ewentualnie jaką mocą obliczeniową, żeby policzyć dla znajdujących się na nim milionów plików sumy kontrolne (choć to nic nie da, bo jeśli mówimy np o łapaniu producenta pornografii to nie ma jeszcze wzorców dla zrobionych przez niego zdjęc czy filmów, podobnie jak nie jest znana suma kontrolna pliku zawierającego plan bomby, którą właśnie zaprojektował terrorysta)

Dzisiejsze komputery mają całkiem sporą moc obliczeniową... Sumy kontrolne mogą się liczyć i przez tydzień, poza tym w strategii poszukiwania konkretnych plików nie jest konieczne wyliczanie pełnego hasha każdego pliku - można to podzielić na zgrubne przesiewanie i dokładne sprawdzanie podjerzanych.

4. Zakładamy, że cały pomysł skierowany jest przeciwko półgłówkom, którzy trzymają "trefne" materiały na komputerach podłączonych i włączonych cały dzień on-line, bo nie stać ich na laptopa za niecałe 1000 zł czy na desktopa za 500. No chyba, że będzie obowiązek przyłączania każdego komputera do internetu jak to już ktoś napisał

Czyli zdecydowana większość "piratów" :P. Poza tym - wystarczy, że taki komputer raz na jakiś czas zostanie podłączony, wtedy może spróbować posłać raport.

5. Zakładamy że wszyscy producenci firewalli pootwierają odpowiedni dziury (a może wpisanie reguły filtrującej adres policji niemieckiej będzie karalne, podobnie skonfigurwoanie IPS-a żeby sygnalizował podejrzanie wysokie transfery wychodzące?)

Myślę, że gdyby blokowanie było takie proste i skuteczne, to nie byłoby problemu z botnetami i całą resztą robactwa.

windows update

Ja to widzę w ten sposób - istnieje już od dawna mechanizm "Windows Update", który doskonale sobie radzi i potrafi nawet całkowicie bez wiedzy i pozwolenia użytkownika robić sobie upgrade.

Nie słychać nic o tym, aby Microsoft płacił odszkodowania za to, że jakiś haker wykorzystał ten mechanizm (jak najbardziej backdoor, w końcu WU może z kolejnym upgradem wprowadzić kod robiący najróżniejsze rzeczy).

Atak na Windows Update jest stosunkowo trudny, ze względu na to, że uaktualnienia są podpisane kryptograficznie - ale historia problemów wynikających z działania różnych takich automatów jest długa. Choćby sprzed kilku dni - firma Sonicwall niechcący wyłączyła zdalnie większość instancji swoich systemów bo źle zadziałał mechanizm automatycznego sprawdzania licencji (i systemy uznały, że licencja wygasła i się wyłączyły), przestały działać filtry, firewalle itd. http://isc.sans.org/diary.php?storyid=5419.

Są też inne przykłady

VaGla's picture

Są też inne przykłady: Odpowiedzialność za LiveUpdate definicji malware - aktualizacja oprogramowania antywirusowego firmy Symantec, oraz Parson: skazanie za wirusa - atak m.in. na serwer Microsoftu oferujący aktualizacje oprogramowania.
--
[VaGla] Vigilant Android Generated for Logical Assassination

NAKAZ backdoora

Obawiam się, że coraz bliżej jest do ustawowego nakazu posiadania "bezpiecznego" backdoora z kluczami w specjalnym urzędzie do tego powołanym. Do tego tylko krok naprzód w stosunku do omawianego pomysłu.

Zbiliżamy się do wizji Orwell'a

Witam.

Rzeczywiście, NAKAZ posiadania backdoora może stać się faktem.

Jednakże każdy skutek ma swą przyczynę. Przyczyną jest głupota ludzka, a zwłaszcza głupota ogromnej liczby użytkowników w określonym wieku. Co prawda nie wolno uogólniać, ale trudno zaprzeczyć, że największy odsetek tzw. piratów ma określony przedział wiekowy. Z czego to wynika? Zapewne z tego, że oprogramowanie jest drogie, że w szkołach są instalowane gry komputerowe na wielu komputerach pomimo posiadania jednej płyty czyli w domyśle jednej licencji. Pominę taktownie kwestię pakietów biurowych ze stajni M$ :-) czy programów do obróbki cyfrowej obrazów. Ciekawe ilu uczniów posiada w domu legalne wersje oprogramowania zgodnego z wymaganiami szkolnymi? Rozsiewanie trojanów, wirusów, backdoorów i innego śmiecia, sprawia ogromną uciążliwość korzystania z internetu. Ściąganie filmów i muzyki, a potem powielanie tego na użytek kolegów nie tylko własny. Wykorzystywanie internetu do publikowania treści ubliżających konkretnym osobom, np. pornografia z cyfrowo podrobionych zdjęć uwidaczniających twarz osoby szkalowanej. Zdjęcia najczęściej są preparowane na niestety zawłaszczonym oprogramowaniu komercyjnym typu PhotoShop. Używanie internetu do przesyłania informacji pomiędzy grupami terrorystów, sprowadza konieczność inwigilacji treści, a nawet zasobów komputerów.

W efekcie, skutkiem takiego krótkowzrocznego myślenia określonych grup internautów, organa porządkowe zaczynają myśleć o wprowadzeniu kontroli rodem z wizji świata Orwell'a. Co prawda dotyczy to tylko wirtualnej rzeczywistości, ale nie mniej jednak dotyka zamkniętej w takim wirtualnym świecie, prywatności każdego człowieka.

Blame Canada, blame Canada

Hmmm, tak, zdecydowanie wszystkiemu winni są piraci, dzieci, terroryści i Internet. Heh, widzę, że pewne techniki marketingowe są chyba na prawdę skuteczne. To może od końca.

Internet to tylko narzędzie. Na pewnym poziomie abstrakcji niczym nie odróżnia się od młotka, czy też lodówki. IMHO z pewnych względów trudno jest winić narzędzia o cokolwiek.

Terroryści, hmm... no im to akurat może zależeć na czymś takim, jak wprowadzenie obowiązkowych backdoorów i pełna inwigilacja obywateli przez dane państwo. Ich działania zazwyczaj mają na celu "zepsucie życia" przeciętnemu obywatelowi albo przynajmniej tym skutkują. Biorąc pod uwagę, że zapewne szybko zostaną wymyślone jakieś metody obejścia backdoorowej niedogodności, to więcej na tym zyskają, niż stracą.

Dzieci - IMHO oczekiwanie od dzieciaków, że przed działaniem będą rozmyślać nad bardzo odległymi w czasie skutkami tychże działań, jest ponad ich możliwości. Z drugiej strony z doświadczenia wiem, że dzieciaki w wieku szkoły podstawowej są akurat najmniej protestującą grupą przed wprowadzeniem na zajęcia takich rzeczy, jak Linux, Openoffice, czy GIMP. Tak właściwie to w ogóle nie protestują i o dziwo jakoś nie mają większych problemów z przesiadką pomiędzy programami. Za to protesty zazwyczaj kierowane są od strony osób dorosłych (tych, które teoretycznie powinny być w stanie przewidywać skutki swoich działań w dłuższym horyzoncie czasowym). Z trzeciej strony wiem, że jeżeli odpowiednio kieruje się rozwojem danego dzieciaka, to w większości przypadków dany malec nie objawia swojej dziecięcej twórczości poprzez nagrania video z symulacji gwałtu na koleżance lub zabawy w robienie świńskich fotomontaży. Przynajmniej w podstawówce, w gimnazjum może być z tym większy problem, ale cóż taki wiek.

No i na końcu piraci. Sam nie wiem co mam powiedzieć, ale istotnie jest to jedna z tych grup, na które najłatwiej zrzucić wszelką winę, w końcu porywają statki :-). Tak, czy inaczej, oni tych backdoorów raczej sami nie instalują (przynajmniej większość z nich i nie jako świadomy wybór) i wcale nie walczą o to, by można było takie rzeczy robić w majestacie prawa.

Zamiast obwiniać o wszystko Kanadę[1], zaryzykuję jednak generalizację i powiem, że jeżeli już mamy kogokolwiek winić o taki stan rzeczy, to obwiniałbym raczej:

A. Ignorancję szarych obywateli, którzy nie reagują wystarczająco skutecznie na wszelkie próby zabrania im swobód, wolności i praw oraz wprowadzania prawa, które tak właściwie bardziej uderza w nich, niż w Internet, dzieci, terrorystów i piratów.

B. Ogólną niską znajomość zagadnień związanych z informatyką/zacją wśród osób podejmujących decyzje.

W sumie to mógłbym zaryzykować bardziej radykalne stwierdzenia, ale chyba nie ma takiej potrzeby.
----
[1]. Każdy, kto oglądał pełnometrażowego South Parka, powinien wiedzieć o co chodzi.

Jednakże każdy skutek ma

wariat's picture

Jednakże każdy skutek ma swą przyczynę. Przyczyną jest głupota ludzka, a zwłaszcza głupota ogromnej liczby użytkowników w określonym wieku....

Zaraz zaraz ... przecież podobno wcale nie chodzi o ściganie piratów których państwo jako takie ścigać przecież nie może (bez wniosku poszkodowanego), a TYLKO o terrorystów, pedofilów i im podobnych. Więc ta przyczyna jest jak gdyby mało istotna.

No i ciągle pozostaje problem koniecznej delegalizacji linuksa, BSD i temu podobnych w których się generalnie nie da zainstalować "państwowego backdoora", bo każdy zainstaluje sobie wersję "backdoor free".

No i ciągle pozostaje

No i ciągle pozostaje problem koniecznej delegalizacji linuksa, BSD i temu podobnych w których się generalnie nie da zainstalować "państwowego backdoora", bo każdy zainstaluje sobie wersję "backdoor free".

To nie przejdzie. Musieliby jeszcze zdelegalizować myślenie i pomysłowość, przecież zablokowanie takiego programu na windowsie będzie kwestią minut (np. poprzez router, program nie ma na niego wpływu więc wystarczy dodać odpowiednie filtry o po sprawie).

Wystarczy...

wdrożyc projekt TP - czyli trusted platform. Sprzętowej implementacji mozliwości kontroli tresci, np. między kontrolerem dysku a pamięcią i szyną procesora - ot i wszystko się zobaczy niezależnie od tego czy szyfrowane czy nie. I o to właśnie chodzi: przecież to dawny projekt półświatka muzycznego...

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Członek Rady ds Cyfryzacji przy Ministrze Cyfryzacji, ekspert w Departamencie Oceny Ryzyka Regulacyjnego Ministerstwa Rozwoju, felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również Członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>